《孫子兵法》上說,知己知彼,百戰(zhàn)不殆�。在作戰(zhàn)過程中,如果能全面、準確掌握敵我雙方的的信息,就能夠打勝仗��。在現(xiàn)如今在網(wǎng)絡(luò)空間中,攻守雙方的態(tài)勢更加錯綜復(fù)雜,攻擊者往往占據(jù)更加主動的位置,而利用威脅情報技術(shù),提前洞悉攻擊者的動向,成為了改變攻守雙方態(tài)勢的重要路徑�。
因此有專家將威脅情報比作是新時代網(wǎng)絡(luò)安全的血液��。奇安信集團總裁吳云坤在2019威脅情報生態(tài)大會曾表示,威脅情報是構(gòu)筑積極防御能力體系關(guān)鍵,同時也將在縱深防御乃至基礎(chǔ)結(jié)構(gòu)安全發(fā)揮重要作用���。
在2019北京網(wǎng)絡(luò)安全大會組委會近日公布的8場網(wǎng)絡(luò)安全技術(shù)沙龍日程中,筆者盤點了威脅情報與威脅分析相關(guān)的六個議題,先睹為快!
8月21日(大會第一日)
議題一:以《網(wǎng)空威脅框架》構(gòu)建全流量監(jiān)測
■14:10國家會議中心C館308演講者:安賽CEO林榆堅
NSA/CSS在Kill Chain殺傷鏈和ATT&CK威脅建模等模型基礎(chǔ)上,于2018年發(fā)布了《網(wǎng)空威脅框架》。該框架的優(yōu)勢在于能從管理者宏觀角度出發(fā),明確定義攻擊者全生命周期內(nèi)的各種攻擊行為,在具體企業(yè)防護應(yīng)用中具有極大的可操作性��。目前,這一模型在國內(nèi)的應(yīng)用剛剛起步��。
本議題將從該模型與技術(shù)創(chuàng)新的實踐成果出發(fā),對模型在全流量監(jiān)控中的實際應(yīng)用和技術(shù)革新的指導(dǎo)意義進行論述,針對如何在超大流量背景中高效化存儲與分析��、如何以雙向數(shù)據(jù)分析手段提高防護效率�、如何提高實時檢測甚至預(yù)判攻擊行為并進行阻斷的可能性等問題,給出對應(yīng)的策略思考與解決手段。
8月22日(大會第二日)
議題二:如何使用NTA檢測發(fā)現(xiàn)高級威脅
■ 14:10國家會議中心C館308演講者:山石網(wǎng)科營銷資深總監(jiān)賈彬
高級威脅具有長期潛伏����、瞬間爆發(fā)的基本特點,一次完整的高級威脅需要經(jīng)過滲透、C&C��、擴散�����、提權(quán)�����、實施等重要階段�������;谔卣鲙斓膫鹘y(tǒng)安全技術(shù)難以有效檢測不同階段的不同威脅行為�����。但是高級威脅每個階段的網(wǎng)絡(luò)流量都會出現(xiàn)不同程度的變化,所以對于流量狀態(tài)變化的監(jiān)控是非常有效的檢測手段之一�����。
作為2017年Gartner十大信息安全技術(shù)之一,本議題將詳細介紹如何利用NTA技術(shù),針對于關(guān)鍵網(wǎng)絡(luò)區(qū)域的東西向和南北向的流量進行分析,檢測企業(yè)網(wǎng)絡(luò)中的可疑行為,尤其是失陷后的痕跡����。
8月23日(大會第三日)
議題三:基于kubernetes的流式威脅檢測平臺
■ 13:35國家會議中心C館311A演講者:華泰安全信息安全架構(gòu)師邢驍
隨著底層計算平臺的不斷發(fā)展,機器學(xué)習(xí)、UEBA等技術(shù)的興起,下一代SIEM也備受關(guān)注���。但是,如何在SIEM平臺中實現(xiàn)實時的事件關(guān)聯(lián)分析�����、威脅精準定位�����、安全噪音消除,仍然是眾多安全工作者的痛點�。
本議題將介紹如何基于kubernetes搭建大數(shù)據(jù)安全檢測平臺,使平臺模塊化和微服務(wù)化,易于部署和擴展,幫助安全工作者快速落地實現(xiàn)各類需求。此外,本議題還將介紹如何利用Flink流式引擎在海量數(shù)據(jù)中發(fā)現(xiàn)實時威脅,并對威脅進行場景化處理和性質(zhì)分析�����。最后,結(jié)合隱蔽隧道�����、主機命令檢測等具體案例,介紹如何將規(guī)則����、基線和機器學(xué)習(xí)等方法在實戰(zhàn)環(huán)境中融合,以實現(xiàn)入侵的精準命中。
議題四:基于ATT&CK的APT跟蹤和狩獵
■ 14:10國家會議中心C館311A演講者:奇安信集團潘博文
APT的跟蹤和狩獵從來都不是一件容易的事情�。為了便于描述網(wǎng)絡(luò)攻擊和惡意代碼, STIX2.0標準中引入了攻擊和惡意代碼2個相對獨立的表述,攻擊采用capec,惡意代碼采用meac。但是capec和meac過于晦澀,因此2015年發(fā)布了ATT&CK模型及建模字典,合并了capec和meac,便于表達和分享,實現(xiàn)安全自動化���。
本議題結(jié)合我們對APT威脅的研究基礎(chǔ),探討ATT&CK在APT威脅場景下的落地方式,主要內(nèi)容包括:從APT威脅角度對ATT&CK框架的設(shè)計進行剖析;探討如何將ATT&CK攻擊技術(shù)框架應(yīng)用到APT威脅分析中,并結(jié)合案例和系統(tǒng)日志層面,探討其落地的方式和思路;探討從ATT&CK角度分析APT組織的攻擊戰(zhàn)術(shù)技術(shù)手法和特點����。
議題五:實戰(zhàn)化下的全流量威脅發(fā)現(xiàn)實踐
■ 14:10國家會議中心C館307演講者:奇安信集團唐伽佳
網(wǎng)絡(luò)攻防演習(xí)是網(wǎng)絡(luò)安全中最能檢驗安全團隊防御能力的方式之一。在攻防演習(xí)中,作為防守方,面對“隱蔽”的網(wǎng)絡(luò)攻擊,如何才能有效防御呢?只有沿實戰(zhàn)化的攻擊路徑做縱深檢測才能全面應(yīng)對“組織化”攻擊挑戰(zhàn)���。攻擊方在組織入侵攻擊時,常見的攻擊步驟為信息收集���、漏洞分析�����、滲透攻擊和后滲透攻擊等��。
本議題結(jié)合攻擊者的入侵路徑與攻擊方法,總結(jié)出了互聯(lián)網(wǎng)突破-威脅檢測,內(nèi)網(wǎng)拓展-威脅檢測,關(guān)鍵產(chǎn)品��、系統(tǒng)攻擊-威脅檢測方案,數(shù)據(jù)驅(qū)動的威脅分析能力體系等內(nèi)容以及相關(guān)實例�。
議題六:情報驅(qū)動的網(wǎng)絡(luò)安全新生態(tài)環(huán)境
■ 13:00國家會議中心C館308演講者:天際友盟技術(shù)總監(jiān)謝廣坤
奇安信集團總裁吳云坤認為,威脅情報生態(tài)就是需要幫助生產(chǎn)者生產(chǎn)更優(yōu)質(zhì)的情報,幫助消費者更好地利用情報。
威脅情報在網(wǎng)絡(luò)安全解決方案中“知己知彼”的“知彼”一側(cè)發(fā)揮著重要作用,但是單獨依靠一家或者少數(shù)幾家威脅情報供應(yīng)商,是絕對不夠的,威脅情報的共享使得網(wǎng)絡(luò)安全防護能夠有效利用外部情報進行針對性精準防護����。因此,威脅情報的共享和生態(tài)建設(shè)是威脅情報利用的關(guān)鍵環(huán)節(jié)。本議題介紹了國際�����、國內(nèi)威脅情報標準的建設(shè)情況,從威脅情報共享與應(yīng)用的角度解讀網(wǎng)絡(luò)安全生態(tài)環(huán)境的發(fā)展���。
京公網(wǎng)安備 11010502041587號